Al igual que muchas veces utilizamos herramientas más específicas, a la hora de buscar un resultado concreto, con los escáneres de vulnerabilidades, gracias a su compendio de herramientas variadas y especializadas encontramos agujeros de seguridad que desconociamos, en este caso en aplicaciones web.
Es muy importante el uso de estos escáneres con asiduidad periódica, ya que cualquier vulnerabilidad que aparezca puede suponernos un susto y un problema, si es encontrado por algún atacante antes que por nosotros.
Acunetix, al igual que la mayoría de los escáneres de vulnerabilidades, nos ayuda a mejorar la seguridad de nuestro sistema, además de encontrando los puntos débiles (SQL Injection, Cross Site Scripting, desactualizaciones del sistema, passwords débiles, etc.) haciendonos una serie de sugerencias para evitarlas o soluccionarlas.
En su web oficial: http://www.acunetix.com/ , podemos dercargar una versión de prueba (de 14 días), que aunque tiene ciertas limitaciones (por ejemplo no nos genera informes), nos podemos hacer una idea de como funciona y los servicios que ofrece.
Una vez instalado, lo arrancamos ...
De entrada nos mostrará esto:
Acunetix en un primer momento nos dará como vemos en esta ventana emergente, la opción de bajo una serie de opciones a rellenar, realizar un análisis de forma automática.
Si vamos rrellanando los datos que se nos piden, adaptandolos a los parámetros adecuados a nuestra busqueda, comenzará el análisis que hemos programado.
Si queremos configurar el análisis de forma manual, solo tenemos que cancelar esta ventana emergente y proceder a la elección de la herramienta a utilizar y configurarla adecuadamente a nuestro gusto.
Estas herramientas las veremos facilmente situadas en la columna izquierda de Acunetix.
En esta entrada voy a probar el "Web escaner".
Podemos ver que en la parte superior, hay una barra de URL, en la que podremos introducir la web que queremos escanear.
La organización de Acunetix nos facilita una serie de URLs de webs vulnerables, para realizar las pruebas:
- http://testphp.vulnweb.com
- http://testasp.vulnweb.com
- http://testaspnet.vulnweb.com
- http://testhtml5.vulnweb.com
Podeís utilizar cualquiera de estas para realizar los análisis y escaneos.
En este caso, yo voy a utilizar:
- http://testhtml5.vulnweb.com
La introduzco en "Start URL" y doy a comenzar.
El escaneo empieza y podemos ver como instantaneamente empezamos a tener los primeros resultados, aunque la realización del escaneo completo suele tardar bastante tiempo, dependiendo la complejidad de la web.
En el centro de la pantalla podemos ver los errores que el escaner va encontrando en la web.
Se encarga de diferenciar la gravedad del error encontrado, de vulnerabilidad muy grave, a leve.
Esta diferenciación, nos la va señalando con colores, siendo el rojo el de mayor gravedad, amarillo gravedad media y verde leve.
En la columna de la derecha, si pinchamos una de los resultados en concreto, se nos especificará en que consta esta vulnerabilidad, que peligro supone, y nos aconseja como podríamos soluccionarla.
Vamos a seleccionar la de Cross site scripting, a ver que nos indica Acunetix.
Vamos a fijarnos en los detalles.
Vemos los detalles del ataque realizado por acunetix, el impacto de las vulnerabilidades, etc.
Haciendo un correcto uso de esta información, y bajo los consejos que nos ofrece la herramienta, deberemos de poner solucciones a los problemas detectados.
De la misma manera, si vamos seleccionando las demás vulnerabilidades encontradas, cada una tendrá sus especificaciones técnicas concretas.
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.